Наиболее критичные уязвимости в Казнете с начала 2022 года

Службой реагирования на компьютерные инциденты KZ—CERT (Служба KZ—CERT) в рамках анализа актуальных угроз информационной безопасности в казахстанском сегменте Интернета c начала текущего года обнаружено более 1000 IP-адресов, потенциально подверженных уязвимостям разного уровня критичности, передает Деловой Казахстан.

В декабре прошлого года Национальный институт стандартов и технологий (NIST) опубликовал исследование, в котором сообщил о рекордном количестве уязвимостей в различном программном обеспечении, отметив, что уже пятый год подряд эта цифра достигает своего максимального значения.

Проблемы кибербезопасности становятся ежедневной угрозой, в том числе и для бизнеса. «Почти половина всех кибератак нацелена на малый бизнес», — утверждает в своем отчете компания Cybint Solutions.

Компаниям, которые сталкиваются с нарушениями информационной безопасности, необходимо выделять средства на исправление различных уязвимостей, расследования произошедших инцидентов, а также на повышение как осведомленности сотрудников в вопросах обеспечения кибербезопасности, так и их квалификации.

В то время как компании затрачивают средства на обеспечение безопасности, злоумышленники продолжают «оттачивать свое мастерство», подготавливая эксплойты для использования данной уязвимости. Компаниям рекомендуется уделять больше внимания на сокращение времени, затрачиваемого на исправление уязвимости, найти эффективные гибкие и адаптированные инструменты безопасности и действовать быстрее злоумышленников, пытающихся проникнуть в систему.

Специалистами Службы KZ-CERT в казахстанском сегменте сети Интернет был обнаружен ряд уязвимостей, эксплуатация которых может негативно сказаться на безопасности и репутации казахстанских компаний.

Из них наиболее критичными уязвимостями являются:

1. CVE-2022-22536 – оценка критичности по CVSS 10 из 10. Уязвимость затрагивает продукты SAP, использующие Internet Communication Manager. Успешная эксплуатация уязвимости позволяет злоумышленникам нацеливаться на пользователей SAP, бизнес-информацию и процессы, красть учетные данные, инициировать отказ в обслуживании, удаленно выполнять код и, в конечном итоге, полностью скомпрометировать любые неисправленные приложения SAP. Система SAP — это программное обеспечение, при помощи которого можно автоматизировать профессиональную деятельность представителей разных специализаций. Такие приложеня «заточены» под конкретную острасль и существенно упрощают работу в ней и связь с другими структурными единицами.
2. CVE-2022-21971 — оценка критичности по CVSS 7.8 из 10 (критичный). Уязвимость затрагивает компонент Runtime в продуктах Microsoft. Уязвимость позволяет выполнить произвольный код, а в результате эксплуатации уязвимости возможно полное раскрытие информации, в результате чего раскрываются все системные файлы, что приводит к компрометации всей системы.
3. CVE-2021-44142 — оценка критичности по CVSS 9.9 из 10 (критичный). Затрагиваемый продукт – Samba. Samba — пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS. Эксплуатация уязвимости может позволить удаленному злоумышленнику выполнить произвольный код от имени администратора. Samba может выступать в роли контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000, и способна обслуживать все поддерживаемые Microsoft версии Windows-клиентов.
4. CVE-2021-42321 – оценка критичности по CVSS 9.9 из 10 (критичный). Уязвимость позволяет аутентифицированному злоумышленнику осуществить удаленное выполнения кода на серверах Microsoft Exchange. Microsoft Exchange Server — программный продукт для обмена сообщениями и совместной работы. Основные функции Microsoft Exchange: обработка и пересылка почтовых сообщений, совместный доступ к календарям и задачам, поддержка мобильных устройств и веб-доступ, поддержка систем обмена мгновенными сообщениями. В результате эксплуатации уязвимости злоумышленник может перехватить управление системой или ее отдельными компонентами, а также похитить конфиденциальные данные пользователей.
5. CVE-2021-35395 – оценка критичности по CVSS 9.8 из 10 (критичный). По словам исследователей, эта уязвимость затрагивает около миллиона устройств с чипсетами SDK Realtek, в числе которых роутеры для путешествий, Wi-Fi-репитеры, IP-камеры для шлюзов lightning, «умные» устройства и другие. Уязвимость позволяет злоумышленникам полностью скомпрометировать устройства и получить контроль над ними. CVE-2021-35395 также затрагивает веб-интерфейс, который является частью SDK (software development kit).
6. CVE-2021-32648 – оценка критичности по CVSS 9.1 из 10 (критичный). Уязвимость CVE-2021-32648 CMS-системы «October» связана с недостатком механизма восстановления пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к произвольной учетной записи с помощью специально созданного запроса. October — система управления содержимым сайта (CMS) с открытым исходным кодом, написанная на языке PHP, на базе компонентов фреймворка для веб-приложений Laravel.
7. CVE-2019-12815 — оценка критичности по CVSS 9.8 из 10 (критичный). Уязвимость произвольного копирования файлов в mod_copy в ProFTPD до версии 1.3.5b. ProFTPd — кроссплатформенный FTP-сервер с открытым исходным кодом, поддерживающий большинство UNIX-подобных систем и Microsoft Windows. Все версии ProFTPd до 1.3.6 включительно. Баг позволяет аутентифицированному пользователю (в том числе и анонимному) копировать файлы, даже если он не имеет разрешения на запись.
8. CVE-2017-12542 — оценка критичности по CVSS 10 из 10 (критичный). Уязвимость обхода аутентификации и выполнения кода в HPE Integrated Lights-out 4 (iLO 4) версии до 2.53. Платформа HP integrated Lights Out (iLO) представляет собой комплекс интегрированных технологий, которые позволяют удаленно управлять серверами, что существенно облегчает эксплуатацию IT-инфраструктуры. Уязвимость в HP iLo можно использовать удаленно. Баг позволяет обойти аутентификацию и получить доступ к консоли HP iLO, что впоследствии позволяет извлечь пароли в формате обычного текста, выполнить вредоносный код и даже подменить прошивку iLO.

Службой KZ-CERT были проведены работы по информированию организаций и операторов связи с просьбой оказать содействие по уведомлению владельцев IP-адресов с рекомендациями для устранения уязвимостей информационной безопасности.

Важно отметить, что внедрение и соблюдение комплекса организационно-технических мероприятий по обеспечению информационной безопасности в компаниях помогает минимизировать риски возникновения различных инцидентов ИБ. Надеемся, что, информация, опубликованная в материале, поможет казахстанским пользователям оградить себя и свои компании от кибератак.

Если вы столкнулись с инцидентом информационной безопасности, просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно) или отправить заявку в Telegram-чат